文章总结: 本文针对高版本安卓机提供保姆级Root配置教程,涵盖解锁BL、刷入Apatch、解决证书信任及代理配置等步骤。作者针对证书校验难题推荐了AlwaysTrustUserCerts等工具,并分享了原创自动化工具ApatchGoGo,大幅简化了多设备的Root及环境配置流程,帮助安全人员快速搭建测试环境。 综合评分: 89 文章分类: 移动安全,实战经验,安全工具
高版本安卓机保姆级ROOT教程-附原创自动化ROOT工具
听风安全
2026年1月12日 15:29 北京
以下文章来源于逐影安全 ,作者blue澜
逐影安全 .
(原-小惜渗透)渗透成长之路,不造重复轮子,注重原理,原理内容没有最细只有更细。
免责声明
由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
公众号现在只对常读和星标的公众号才展示大图推送,
建议大家把听风安全设为星标,否则可能就看不到啦!
PROPERTY MANAGEMENT
📱原本我自己的(Myself)主要用到的测试机其实有两个,一个是我那多年前退休但依旧能打的小米九,另一个是pixel2主要用来脱壳。
不过最近公司提供了一筐测试机🧺,安卓的测试机全是Pixel 8,拿到手里好家伙安卓16,说实话之前了解过安卓14以上证书信任问题又变的更难了,不仅仅移动证书到系统证书目录那么简单了,而且好像安卓16跟安卓14、15还不一样,人就麻了😅,这配置不得配置一会,以前也没过过这好日子啊,算了,开整吧!
从解锁BL->刷入apatch进行root->解决证书信任问题->不满足系统代理找到可以自定义规则的代理方式->非普通双开就能解决的双开解决方案,基本上每一步都得有点难题❓,不过鲁迅说了:关关难过关关过,最后也算是披荆斩棘了,所以为了防止各位师傅能少踩坑专注于渗透本身于是就有了本文📃,而又因为测试机较多,所以挨个配置太过耗时,所以最后干脆搞了一个辅助工具🔧。
一开始想搞个一键就能完成整个流程的工具,但是由于安卓机器某些需要必须手动完成的功能,所以最后个别地方还是需要手动点两下,但是真的就是点两下,整体过程还是偏向于全自动化的,反正我自己使用感觉非常香~
请仔细阅读,能避免踩到不少坑,文章会先从整体的流程进行讲解,最后再讲如何利用工具超快配置。
电脑调试手机,手机打开开发者模式然后开启USB调试并信任当前的电脑,这永远是前置条件,由于对于安全从业者来说这过于基础具体就不说了,如果真的有不会的请自行百度
0x01 解锁BL
- Win11大部分应该不带驱动,如何判断?
打开设备管理器,如果如下图所示就是没有问题
如果上图没有出现并且使用adb调试检测不到设备,那大概率就是电脑没带安卓的驱动,只需要安装驱动即可,下载后右键inf后缀的文件点击安装
usb_driver_r13-windows.zip
- 然后我们来到
设置–系统–开发者选项,开启OEM 解锁
- 我们使用adb命令让手机重启到
bootloader
注意:后续的adb和fastboot一定要用官方的,官方版本 platform-tools:platform-tools
adb reboot bootloader
手机会重启到bootloader,进入到bootloader后,继续在电脑上执行命令
fastboot flashing unlock
然后利用手机音量键跳到解锁,电源键选择
解锁后,Devices state会显示解锁状态,这里再看下我们当前所在的槽(slot),我当前所在的槽是b,这里就是看一下为了防止后续刷apatch的时候别刷错槽了
这样就解锁成功了,接下来重启开机
fastboot reboot
注意:解锁后系统将重置,所以开机之后需要重新配置并开启开发者模式和usb调试
0x02 刷入Apatch
然后我们进行刷入apatch,我平时使用电脑操作手机或者互相传文件利用的是AYA这个工具
我们去下载好apatch安装包并安装,https://mrzzoxo.lanzoue.com/iblW03aw1cva
然后我们去下载对应的谷歌镜像包,来到手机的设置–关于手机,找到Buidl号
对照着手机型号、安卓版本、Build号去下载镜像包,地址:https://developers.google.com/android/images?hl=zh-cn#shiba
一定要下载左边选项的出场镜像,别下错成其它的,比如我当前测试机是Pixel 8,安卓版本16,对应的Build,应该下载如下所示的
压缩包下载后解压,还有一个压缩包,提出里面的boot.img
然后我们将它传递到手机的Download目录,打开apatch选择右上角的安装图标
选择
然后选择我们刚刚的boot.img
输入密码后点击开始修补
然后会输出一个修补后的img文件
去对应目录将这个img文件拷贝到电脑
重启手机,刷入这个img即可
adb reboot bootloader
#重启进入bootloader后
fastboot flash boot 修补文件
刷入成功是这样子,我这里默认的槽是a,刷入默认也是a
然后重启,打开apatch
fastboot reboot
点击超级秘钥按钮
系统补丁也点击下安装就ok了
最后这样就ok了
0x03 解决证书校验
安卓高版本的证书校验这个我也是试了很多,包括自定义的一些脚本之类的,解决方案如下:
AlwaysTrustUserCerts能解锁目前所有证书校验问题,包括安卓16版本,地址:https://github.com/NVISOsecurity/AlwaysTrustUserCerts
- 用
AlwaysTrustUserCerts,每次证书装完需要重启一下
如果是安卓15及其以下用MoveCertificate,地址:https://github.com/ys1231/MoveCertificate
- 在测试过程中还遇到一个应用,有防录屏对抗
解决方案是安装lsp,然后在lsp里装DisableFlagSecure,
0x04 代理问题解决
通常情况手机抓包,最简单的方式就是系统代理直接设置到我们的burp,不过问题就是容易被检测,而且最主要的是干扰包特别多
所以我一直再尝试寻找一个既能挂代理,而且还可以根据配置自动选择是否走代理的方案
目前的方案是安装SagerNet
进入软件后手动输入一个http代理
然后直接启动是不会生效的,原因还有两个坑,我们进入设置Ipv6这里改为禁用,远程DNS这里将原来的值改成国内可用dns的地址,例如tls://114.114.114.114
然后选中并开启对应代理就可以了,此时还可以根据路由模块自定义指定IP或域名不走代理而是直接转发了,但是每次有新的改动,代理需要重连一下才能生效
0x05 工具使用
主要有四个函数,暂时只测试了pixel8,完全没问题,首先当一个新手机到手后
手动开启开发者模式,开启usb调试,然后提前下载好boot.img放到iso目录
- open_oem:自动打开设置开启
oem 解锁 - unlock:自动重启到bootloader发送解锁命令,发送完解锁命令后需要手动调节电源键和音量键解锁,解锁后会回到bootloader,此时按任意键继续
- apatch_ios:按任意键后自动重启,进入系统,此时由于系统因为解锁会等待用户配置并重新开启usb调试,手动开启usb调试后,按任意键以继续,程序会自动安装apatch,然后将两个证书插件和
boot.img上传到手机,然后自动打开apatch对boot.img进行修补(修补密码默认为zhuying666,请自行更改)然后会自动再将修补后的文件拉取到本地ios目录 - 自动重启进入bootloader,刷入修补后的img文件,然后重启
此时就结束了,后续就打开apatch进行激活,然后根据自己的选择,可以选一个解决证书问题的插件进行安装
工具地址:https://github.com/likeNlong/ApatchGoGo
(我在pixel8进行刷apatch的时候还发现了一个问题,不知道是不是这批测试机的问题还是什么,大概就是刷了一个slot后,可能重启几次apatch会掉,后来才发现是自动切换了一个槽,比如我刷了b槽,但是重启几次后可能b槽的系统坏了切换到了a槽,经过我测试如果此时还原b槽然后继续重复刷入后续还是会有一样的问题,但是如果b槽坏了不去管它,然后查看a槽的系统版本重新刷a槽的apatch后续就好了,没搞懂原因,有师傅知道原因可以说一说)
不可错过的往期推荐哦
记一次任意用户密码重置漏洞
微信小程序动态密钥实现自动加解密
实战攻防之黑盒挖掘Java反序列化漏洞
实战中Java反序列化漏洞黑盒挖掘思路
[话题]聊一聊如何更优雅的实现自动化加解密?
一次对某涩涩APP的分析之旅
层层防护下的突破之道:帆软漏洞利用深度解析
开发者别大意!Node.js 未授权安全漏洞,你的服务器可能正在被攻击者远程操控。
点击下方名片,关注我们
觉得内容不错,就点下“赞”和“在看”
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:听风安全 《高版本安卓机保姆级ROOT教程-附原创自动化ROOT工具》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论